32
Ochrana osobních údajů Implementace GDPR Mgr. Alena Straubová, advokátka AK Smetanova 8 602 00 Brno Mgr. Alena Straubová
Ochrana osobních údajůImplementace GDPR
Mgr. Alena Straubová,advokátka
AK Smetanova 8602 00 Brno
Mgr. Alena Straubová
OSNOVA PREZENTACE
Mgr. Alena Straubová
1) Úvod do GDPR
a) Zásady zpracování OÚ v praxi
b) Základní povinnosti správce při zpracování OÚ
2) Proces implementace GDPR
a) Analýza zpracování
b) Analýza procesů
c) Analýza smluv
d) Ustanovení pověřence pro ochranu osobních údajů
3) Nejčastější problémy při implementaci GDPR
4) Dotazy
1) Úvod do GDPR
Úvod do GDPR
Mgr. Alena Straubová
Nařízení Evropského parlamentu a rady 2016/679, obecné nařízení o ochraně osobních údajů (General Data Protection Regulation)
• navazuje na dosavadní právní úpravu - směrnici 95/46/ES, zákon č. 101/2000 Sb., o ochraně osobních údajů
• norma s přímou aplikací, společná pro všechny členské státy EU
• platnost od 24. 5. 2016, účinnost od 25. 5. 2018
Věcná působnost
• zpracování OÚ žijících osobních osob orgány a institucemi EU i podnikatelskými, profesními či zájmovými subjekty
Místní působnost
• subjekty se sídlem či provozovnou na území EU
• subjekty poskytující zboží a služby občanům EU
Důvody vydání nové legislativy
Cíle GDPR
Mgr. Alena Straubová
Důvody pro vydání GDPR:
• Vývoj moderních technologií
• Existence otevřeného evropského trhu
Cíle GDPR:
• Zajištění jednotné ochrany osobních údajů
• Zvýšení ochrany osobních údajů
• Odstranění překážek bránících volnému pohybu osobních údajů v EU
Zásady zpracování OÚ
Mgr. Alena Straubová
Zásada zákonnosti, korektnosti a transparentnosti• zpracování na základě právního důvodu• zpracování v souladu s GDPR• zpracování transparentní pro subjekt OÚ
Zásada účelového omezení• přesné vymezení účelu zpracování OÚ před zahájením
zpracování• zákaz rozšiřování účelu zpracování
Zásady zpracování OÚ
Mgr. Alena Straubová
Zásada minimalizace OÚ• zpracování pouze v rozsahu nezbytném pro daný účel • zákaz neúčelného hromadění OÚ
Zásada přesnosti OÚ • povinnost zpracovávat přesné a aktualizované údaje
Zásada omezení uložení OÚ• zpracování OÚ pouze po dobu nezbytně nutnou• stanovení doby zpracování a uložení OÚ
Soulad se zásadami zpracování osobních údajů
Mgr. Alena Straubová
Zásada integrity a důvěrnosti • zabezpečení osobních údajů před poškozením,
zničením, zneužitím, zcizením• omezení přístupu k osobním údajům
Zásada odpovědnosti správce • odpovědnost správce za dodržování GDPR• přenesení důkazního břemene na správce
Základní povinnosti při zpracování OÚ
Mgr. Alena Straubová
1) Informační povinnost
2) Zabezpečení osobních údajů
3) Vedení záznamů o činnostech zpracování
4) Úprava smluv o zpracování OÚ dle GDPR
5) Pověřenec pro ochranu osobních údajů
Informační povinnost
Mgr. Alena Straubová
• projev zásady transparentnosti zpracování OÚ• základní právo každého subjektu osobních údajů
Obsah informačního sdělení:
• totožnost správce, pověřence pro ochranu osobních údajů, kontaktní údaje
• účel, doba, právní důvod zpracování
• kategorie OÚ
• práva subjektu OÚ
• okruh příjemců OÚ
• informace o automatizovaném rozhodování a profilování
• zdroj OÚ, pokud jsou získány od třetí osoby
Informační povinnost
Mgr. Alena Straubová
Splnění informační povinnosti
• před zahájením zpracování OÚ, pokud jsou osobní údaje získány od subjektu OÚ
• do 1 měsíce od získání OÚ, pokud jsou osobní údaje získány od třetí osoby
• v průběhu zpracování OÚ na žádost subjektu osobních údajů
Způsob předání informací:
• prostřednictvím vhodných opatření – osobním předáním, vyvěšením, zveřejněním na webových stránkách
• stručně, přehledně, srozumitelně, jednoduše
Zabezpečení osobních údajů
Mgr. Alena Straubová
Přijetí přiměřených opatření
• organizační opatření – interní směrnice
• technická opatření
mechanická – zámky
technologická – hesla, šifrování, antivirové programy
Vedení dokumentace o přijatých opatřeních
• projev zásady odpovědnosti
• např. protokol o seznámení s interní směrnicí, záznamy o přístupu k osobním údajům
Hodnocení zavedených opatření
• vyhodnocení efektivity a aktuálnosti opatření
Vedení záznamů o činnostech zpracování
Mgr. Alena Straubová
• písemný dokument (v listinné podobě nebo elektronicky)
• obsah záznamů o činnostech zpracování
informace o správci osobních údajů, pověřenci, kontaktní údaje
informace o zpracování osobních údajů
popis technických a organizačních bezpečnostních opatření
výjimka z povinnosti – malý podnik zaměstnávající méně než 250 osob, pokud
o zpracování není rizikové
o zpracování je příležitostné
o správce nezpracovává citlivé osobní údaje
Úprava smluv o zpracování osobních údajů
Mgr. Alena Straubová
• smlouva o zpracování OÚ – každá smlouva o dodávce služeb, jejíž součástí je práce s osobními údaji, např. smlouva o správě IT sítě, smlouva o servisu software, smlouva o poskytování cloudových služeb, smlouva o vedení mzdového účetnictví apod.
• povinnost písemné formy
předmět a doba trvání zpracování
povaha a účel zpracování
typ osobních údajů
kategorie subjektů osobních údajů
povinnosti a práva správce
poskytnutí záruk ochrany OÚ
Pověřenec na ochranu osobních údajů
Mgr. Alena Straubová
Jmenování pověřence
• Dobrovolné
• Povinné
Orgány veřejné moci a veřejné subjekty
Subjekty provádějící monitoring nebo profesionálně zpracovávající osobní údaje
Subjekty provádějící rozsáhlé zpracování citlivých osobních údajů
Pověřenec na ochranu osobních údajů
Mgr. Alena Straubová
Hlavní povinnosti pověřence:
poradenství subjektům OÚ v souvislosti s GDPR
poradenství správcům a zpracovatelům OÚ v souvislosti s GDPR
monitorování a kontrola činnosti správce OÚ – kontrola dodržování GDP
spolupráce s dozorovým orgánem a kontaktní místo
2) Proces implementace GDPR
Proces implementace GDPR
Mgr. Alena Straubová
1) Analýza zpracování
2) Analýza procesů
3) Analýza smluv
4) Ustanovení pověřence pro ochranu osobních
údajů
Analýza zpracování osobních údajů
Mgr. Alena Straubová
• Analýza činností, při kterých dochází ke zpracování OÚ
definování účelu a subjektů osobních údajů
• Analýza rozsahu zpracovávaných OÚ výmaz nadbytečných OÚ
• Posouzení právního důvodu zpracování
• Posouzení délky zpracování OÚ
• Posouzení předávání a zveřejňování OÚ
Analýza zpracování osobních údajů
Mgr. Alena Straubová
• Výsledky analýzy
Informace o činnostech zpracování – podklady pro splnění zákonné informační povinnosti
Záznamy o činnostech zpracování – podklady pro zajištění povinné interní dokumentace správce
Analýza procesů osobních údajů
Mgr. Alena Straubová
• Vyhodnocení získávání osobních údajů
• Vyhodnocení ukládání OÚ v listinné podobě
• Vyhodnocení ukládání OÚ v elektronické podobě
• Vyhodnocení likvidace OÚ
V listinné podobě – skartace
V elektronické podobě – přepis dat, likvidace disku
Analýza procesů osobních údajů
Mgr. Alena Straubová
• Výsledek analýzy
podklady pro přijetí vhodných organizačních opatření – interní směrnice o ochraně osobních údajů, směrnice o informačních technologiích, organizační řád, archivační a skartační řád
podklady pro vyhodnocení rizik zpracování osobních údajů
Analýza smluvních vztahů
Mgr. Alena Straubová
• Posouzení, zda v rámci smluvního vztahu dochází ke zpracování osobních údajů
• Posouzení, zda smlouva obsahuje dohodu o zpracování osobních údajů dle GDPR
• V případě rozporu smlouvy s GDPR
uzavření dodatku ke smlouvě nebo samostatné smlouvy o zpracování OÚ
vypovězení smlouvy
Analýza smluvních vztahů
Mgr. Alena Straubová
● Doporučený obsah dohody o zpracování OÚ
předmět a doba trvání zpracování – jaké OÚ bude zpracovatel zpracovávat a jak dlouho
povaha a účel zpracování – jaké činnosti bude správce s osobními údaji provádět a za jakým účelem
typ osobních údajů a kategorie subjektů OÚ – kategorie OÚ, se kterými bude zpracovatel pracovat (především upozornit na citlivé OÚ) a označení subjektů OÚ (důraz na chráněné skupiny - nezletilé)
práva a povinnosti správce – právo správce na součinnost v případě kontroly dozorového orgánu, právo správce provádět audit či inspekci u zpracovatele
záruky zpracovatele k ochraně OÚ – závazek dodržovat GDPR, sjednání úrovně zabezpečení, poskytnutí informací o zabezpečení osobních údajů (obzvlášť u služeb IT)
odpovědnost zpracovatele za porušení povinností – povinnost zpracovatele uhradit vzniklou škodu
Ustanovení pověřence na ochranu osobních údajů
Mgr. Alena Straubová
Předpoklady pro výkon funkce
• profesní kvality
• odborná znalost práva
• předchozí praxe v oblasti ochrany osobních údajů
Výkon funkce na základě smlouvy
• smlouva o poskytování služeb
• pracovní smlouva
• Zákaz výkonu činnosti vedoucí ke střetu zájmů
• Subjekt bez rozhodovacích pravomocí a bez odpovědnosti dle GDPR
odpovědnost vůči správci za porušení smluvních povinností zachována
• Povinnost mlčenlivosti
Ustanovení pověřence na ochranu osobních údajů
Mgr. Alena Straubová
Interní – zaměstnanec správce OÚ
klady - znalost organizační struktury správce
zápory - odpovědnost správce OÚ za kvalifikaci pověřence, riziko střetu zájmů, limitace náhrady školy
Externí – podnikatel poskytující službu
klady - větší flexibilita, odpovědnost poskytovatele za kvalifikaci pracovníků, vysoká odborná úroveň, neomezená náhrada škody
zápory - nutnost seznámit se s organizační strukturou správce
Poskytovatelé služeb: komerční subjekty, advokátní kanceláře, neziskové organizace
3) Nejčastější problémy při implementaci GDPR
Nedostatky při implementaci GDPR
Mgr. Alena Straubová
Obvyklé nedostatky u školských zařízení a jiných příspěvkových organizací:
• nesprávné zjištění právního důvodu zpracování – nadužívání souhlasu se zpracováním OÚ x absence právního důvodu zpracování
• neznalost účelů, pro které osobní údaje zpracovávají
• hromadění nepotřebných údajů (např. emaily, číslo OP, rodné číslo v rámci doplňkové činnosti) – zpracování OÚ, které nejsou povinné ani nutné pro poskytování služeb nebo výkon činnosti
• absence stanovení doby zpracování osobních údajů, opožděná likvidace osobních údajů – nejasnosti v délce zpracování OÚ, pozdní likvidace OÚ
• nesprávné nastavení přístupových oprávnění k osobním údajům
• nedostatečná ochrana přístupových hesel k elektronickým databázím – užívání jednoho hesla, zapisování hesel na dostupná místa
• nedostatečná nebo chybějící dokumentace upravující nakládání s osobními údaji – absence směrnic, interní dokumentace
4) Dotazy
Dotaz: Jak je to s ochranou osobních údajů při pořizování fotek účastníků (dětí i dospělých) v rámci vzdělávacích akcí, jak tuto problematiku ošetřit, jaké by měly být náležitosti souhlasu, jaké jsou podmínky užívání pořízených fotek apod.?
Mgr. Alena Straubová
Právní úprava pořizování obrazových záznamů
ust. § 84 an. zákona č. 89/2012 Sb., občanského zákoníku, právní úprava osobnostních práv
zákon č. 101/2000 Sb., o ochraně osobních údajů, GDPR, právní úprava zpracování OÚ
Způsob nakládání s fotografiemi
zveřejnění fotografií bez dalších osobních údajů → OZ
souhlas s pořízením a šířením fotografie dle OZ
zveřejnění fotografií včetně dalších osobních údajů → OOÚ
souhlas se zpracováním OÚ, informační povinnost správce
Dotaz: Spolek s celostátní působností (právní subjektivita) eviduje zákl. údaje o členech pro vlastní potřebu a dále pro žádosti a následné vyúčtování dotací a grantů. Spolek má pobočné spolky s právní subjektivitou (jiné IČO) a ty navíc shromažďují a využívají další OÚ. Už nyní máme souhlasy členů či jejich zákonných zástupců k evidence OÚ. Kdo je ale správcem a zpracovatelem? Pobočný spolek nebo hlavní spolek? Oba subjekty jsou řádně zapsány u přísl. soudu.
Mgr. Alena Straubová
právní subjektivita pobočného spolku se odvozuje od právní osobnosti hlavního spolku
rozsah práv a povinností, která může nabývat spolek, je stanoven stanovami hlavního spolku → identifikace záleží na individuální organizaci daného spolku
pro posouzení vzájemných vztahů je významné – text stanov, úprava členství (ve vztahu k OÚ členů), právo uzavírat pracovně-právní smlouvy (ve vztahu k zaměstnancům), vstupovat do civilních kontraktů (správa OÚ obchodních partnerů)
Děkujeme Vám za Vaši pozornost !
Mgr. Alena Straubová,advokátka
Mgr. Alena Straubová
